CLOUD COMPUTING

UNIVERSIDAD NACIONAL JOSE FAUSTINO SANCHEZ CARRION

ESCUELA PROFESIONAL INGENIERÍA DE SISTEMAS

TEMA

“SEGURIDAD EN CLOUD”

CURSO

E- BUSINESS AND CLOUD COMPUTING

INTEGRANTES

Medina Valencia Kiara

Galiano Quispe Arthur

DOCENTE:

Ing. Flores Flores Roland Demetrio

Huacho – Perú
CLOUD COMPUTING
2

¿Quién es el responsable de la seguridad en la nube?

La seguridad en la nube es una responsabilidad compartida entre la organización en general y

su proveedor de nube. Así cómo también equipos diferentes dentro de una organización

podrían ser responsables de la seguridad de la nube: el equipo de red, el equipo de seguridad,

el equipo de aplicaciones, el equipo de cumplimiento o el equipo de infraestructura.

IaaS SaaS PaaS

Cliente es responsable Proveedor asume la Acuerdo con proveedor

responsabilidad

12 amenazas según CSA (Cloud Security Alliance). Casos y responsabilidades

1. Preocupación por la seguridad: violaciones de datos

Una violación de datos es un incidente en el que información sensible, protegida o

confidencial la información es divulgada, vista, robada o utilizada por una persona que es no

autorizado para hacerlo.

Caso :

A mediados de 2015, BitDefender, una empresa de antivirus, tenía un número

no revelado de nombres de usuario y contraseñas de clientes.robado debido a una

vulnerabilidad de seguridad en su aplicación de nube pública alojada en AWS. El

hacker responsable exigióun rescate de $ 15,000.La violación de Anthem en 2015 de

más de 80 millones de registros de clientes comenzó con el robo de credenciales en la

empresa.la red. Se utilizó un servicio en la nube de terceros para transferir el enorme

CLOUD COMPUTING
3

almacén de datos de la red de la empresa alnube pública donde los piratas

informáticos podrían descargarlo. El proveedor de telecomunicaciones británico

TalkTalk informó de varios incidentes de seguridad en 2014 y 2015, que resultaron en

el robo.de la información personal de cuatro millones de clientes. Las infracciones

fueron seguidas por una serie de llamadas fraudulentas que intentabanextraer

información bancaria de los clientes de TalkTalk. TalkTalk fue ampliamente criticado

por no cifrar al clientedatos.

Responsable :

Los proveedores de la nube a menudo tienen buena seguridad para los

aspectos de los que asumen la responsabilidad, pero, en última instancia, los clientes

son responsables de proteger sus datos en la nube. La mejor protección contra la

violación de datos es una seguridad eficaz alprograma. Dos importantes medidas de

seguridad que pueden ayudar a las empresas a mantenerse seguras en la nube son

multifactoriales autenticación y cifrado.

2. Preocupación por la seguridad: identidad, credencial insuficiente y gestión de acceso

Las filtraciones de datos y la habilitación de ataques pueden ocurrir debido a la falta

de sistemas de gestión de acceso a la identidad escalables, falta de uso de factores múltiples

autenticación, uso de contraseñas débiles y falta de procesos automatizados

rotación de claves criptográficas, contraseñas y certificados.

Caso :

Los atacantes raspan GitHub para obtener credenciales de servicio en la nube,

secuestran una cuenta para extraer moneda virtual - “Servicio en la nube Las
CLOUD COMPUTING
4

credenciales de proveedor incluidas en un proyecto de GitHub se descubrieron y se

utilizaron incorrectamente dentro de las 36 horas posteriores a la finalización del

proyecto. En Vivo."

Responsable :

El cliente es responsable y debe sopesar el equilibrio entre la conveniencia de

la administración centralizada de claves y los sistemas de autenticación de múltiples

factores: tarjeta inteligente, OTP y teléfono, etc.

3. Preocupación por la seguridad: interfaces y API inseguras

Los proveedores de computación en la nube exponen un conjunto de interfaces de

usuario de software (UI) o interfaces de programación de aplicaciones (API) que utilizan los

clientes para gestionar e interactuar con los servicios en la nube.

Caso :

La infracción del IRS y la importancia de la seguridad de la API adaptable -

“A mediados de 2015, el Servicio de Impuestos Internos de EE. UU. (IRS)expuso más

de 300.000 registros a través de una API vulnerable ("Obtener transcripción") ".Por

qué las claves de API expuestas y los datos confidenciales son motivo de

preocupación cada vez mayor: la seguridad de la API implica más que simplemente

asegurar la API en sí: implica proteger las claves de API, las credenciales de la nube y

otros datos confidenciales de la exposición pública, medidas de seguridad que a veces

los desarrolladores pasan por alto.

CLOUD COMPUTING
5

Responsable

El proveedor debe de saber que es fundamental para los consumidores de esos

servicios y comprender las implicaciones de seguridad asociadas con el uso, gestión,

orquestación y seguimiento de servicios en la nube

4. Preocupación por la seguridad: vulnerabilidades del sistema

Las vulnerabilidades del sistema son errores explotables en programas que los

atacantes puede utilizar para infiltrarse en un sistema informático con el propósito de robar

datos, tomando el control del sistema o interrumpiendo las operaciones del servicio.

Vulnerabilidades dentro de los componentes del sistema operativo: kernel,

bibliotecas del sistema y herramientas de aplicación: ponga la seguridad de todos los

servicios y datos con riesgo significativo.

Caso :

Pérdidas magnificadas, necesidad amplificada de preparación para ataques

cibernéticos: “Heartbleed y Shellshock demostraron que incluso las aplicaciones de

código abierto, que se creían más seguras que sus contrapartes comerciales , eran

vulnerables a las amenazas. Afectaron particularmente a los sistemas que ejecutan

Linux, lo cual es preocupante dado que el 67,7% de los sitios web utilizan UNIX, en

el que se basa el primero (Linux) ".

Informe de investigaciones de violación de datos de Verizon 2015: "El error

Shellshock en Bash fue el segundo OSS tumultuoso de 2014 evento de

CLOUD COMPUTING
6

vulnerabilidad, eclipsando rápidamente a Heartbleed debido a muchos más ataques

exitosos ".

Informe de defensa contra ciberamenazas de 2014: “El 75% de los ataques

utilizan vulnerabilidades conocidas públicamente en software comercial que podría

prevenirse mediante parches regulares ".

Responsable :

Cliente es responsable así también la gestión de la seguridad debe

implementar un función de inteligencia de amenazas, para llenar el vacío entre el

momento en que se anuncia una vulnerabilidad (conocido como "día 0") y el vez que

el proveedor proporcione un parche. Cambie los procesos de control que abordan el

parcheo de emergencia de recursos críticos y varios escenarios de vulnerabilidad.

debe crearse para garantizar que las actividades de remediación de vulnerabilidades

estén debidamente documentadas y revisadas por técnicos.

5. Preocupación por la seguridad: secuestro de cuentas

El secuestro de cuentas o servicios no es nuevo. Métodos de ataque como la

suplantación de identidad, el fraude y la explotación de las vulnerabilidades del software aún

logran resultados.

Caso :

En abril de 2010, Amazon experimentó un error de secuencia de comandos

entre sitios (XSS) que permitió a los atacantes secuestrar las credenciales del sitio. En

2009, numerosos sistemas de Amazon fueron secuestrados para ejecutar nodos de

botnet Zeus.
CLOUD COMPUTING
7

Responsable :

Cliente

6. Preocupación por la seguridad: empleados maliciosos

El riesgo causado por personas internas malintencionadas se ha debatido en la

seguridad industria.

Caso :

Según algunos estudios como el de CA el 90 por ciento de las organizaciones

es consciente de que es vulnerable a estos ataques por parte de sus propios empleado.

Según CSA, los sistemas que dependen exclusivamente de proveedores de servicios

en la nube para la seguridad corren un mayor riesgo.

Responsable :

Cliente

7. Preocupación por la seguridad: amenazas persistentes avanzadas

Las amenazas persistentes avanzadas (APT) son una forma parasitaria de ciberataque

que se infiltra en los sistemas para establecer un punto de apoyo en la informática

infraestructura de las empresas objetivo de las que contrabandean datos y

propiedad intelectual.
CLOUD COMPUTING
8

Caso :

Carbanak: ¿Cómo habría detenido un ataque de APT de mil millones de

dólares? - “ Carbanak, un ataque de la APT contra instituciones de todo el mundo,

bien puede ser considerado el mayor ciberheísta hasta la fecha. A diferencia del

ciberdelincuente habitual método para robar las credenciales de los consumidores o

comprometer sesiones individuales de banca en línea con malware, el La descarada

banda Carbanak apuntó a los sistemas y operaciones internos de los bancos, lo que

resultó en un robo multicanal que promedió $ 8 millones por banco ".

Responsable :

Cliente

8. Preocupación por la seguridad: pérdida de datos

Tanto para los consumidores como para las empresas, la perspectiva de perder los

datos de uno es aterrador. Los datos almacenados en la nube se pueden perder por motivos

distintos a los maliciosos ataques.

Caso :

Según las nuevas normas de protección de datos de la UE, la destrucción de

datos y la corrupción de datos personales se consideran formas de filtraciones de

datos y requieren notificaciones apropiadas. Además, muchas políticas de

cumplimiento requieren que las organizaciones retengan registros de auditoría u otra

documentación. Si una organización almacena estos datos en la nube, la pérdida de

esos datos puede poner en peligro su estado de cumplimiento.

CLOUD COMPUTING
9

Responsable :

Proveedor , Cliente.

9. Preocupación por la seguridad: debida diligencia insuficiente

Cuando los ejecutivos crean estrategias comerciales, tecnologías en la nube ySe deben

considerar los CSP. Desarrollar una buena hoja de ruta y una lista de verificación .La debida

diligencia al evaluar tecnologías y CSP es esencial para la mayor posibilidad de éxito

Caso :

Recursos / controles / políticas capaces: en 2012, la nube pública de Amazon

Web Service (AWS), en la que Netflix confía para transmitir contenido a los clientes,

experimentó una interrupción en su región este de EE. UU. (que abarca varias zonas

en AWS), debido a la eliminación accidental de información que controla el equilibrio

de carga.

Responsable :

Proveedor.

10. Preocupación por la seguridad: abuso y uso nefasto de Servicios en la nube

Implementaciones de servicios en la nube con poca seguridad, pruebas gratuitas de

servicios en la nube y registros de cuentas fraudulentos a través del fraude de instrumentos de

pago exponer la nube modelos informáticos como IaaS, PaaS y SaaS frente a ataques

maliciosos.
CLOUD COMPUTING
10

Caso :

Los piratas informáticos se infiltran en AWS para el centro de lanzamiento de

DDoS: "La división Elastic Cloud Computing de Amazon estaba sufriendo de un

ataque altamente sofisticado por parte de un grupo de piratas informáticos

desconocidos, que habían encontrado una manera de aplicar ingeniería inversa al

código de prueba de concepto y crear una puerta trasera de fácil acceso para ellos

mismos en el enorme banco de Amazon disponible poder de procesamiento."

Responsable :

Proveedor

11. Preocupación por la seguridad: denegación de servicio.

Los ataques de denegación de servicio (DoS) son ataques destinados a evitar que los

usuarios un servicio de poder acceder a sus datos o sus aplicaciones.

Caso :

Feedly desconectado por un ataque DDoS después de los ataques de Evernote

y Deezer - "En lo que parece una serie de ciberataques coordinados por una banda

delictiva, tres importantes servicios basados en la nube han sido desconectados en

días recientes. El agregador de noticias Feedly, la aplicación para tomar notas

Evernote y el servicio de transmisión de música Deezer han llegado bajo el ataque de

delincuentes en los últimos días, lo que provocó que los tres sufrieran cortes de

servicio.
CLOUD COMPUTING
11

Responsable :

Clientes

12. Preocupación por la seguridad: vulnerabilidades de tecnología compartida

Los proveedores de servicios en la nube brindan sus servicios de manera escalable al

compartir infraestructura, plataformas o aplicaciones. Las mitigaciones para prevenir una

brecha en los recursos compartidos deben ser implementado, como la autenticación

multifactor en todos los hosts, el sistema de detección de intrusiones basado en host (HIDS) y

la intrusión basada en la red . Sistemas de detección (NIDS en redes internas, aplicando

conceptos de la segmentación y los privilegios mínimos de las redes, y de mantener

compartidos recursos parcheados.

Caso :

Comprensión de la vulnerabilidad de VENOM: "La vulnerabilidad de búfer no

comprobada (CVE-2015-3456) ocurre en el código para el controlador de disquete

virtual de QEMU. Un ataque exitoso de desbordamiento de búfer aprovechando esta

vulnerabilidad puede permitir a un atacante ejecutar su código en el contexto de

seguridad del hipervisor y escapar del invitado sistema operativo para obtener el

control de todo el host.

Responsable

Proveedor
CLOUD COMPUTING
12

Riesgos Detectados por Gartner

Accesos de usuarios con privilegios

El procesamiento o tratamiento de datos sensibles fuera de las instalaciones de la

empresa conlleva un riesgo inherente, ya que es posible que estos servicios externos sorteen

los controles físicos, lógicos y humanos siendo, por este motivo, necesario conocer quién

maneja dichos datos.

Por tanto, se hace obligatorio consensuar con el proveedor los usuarios que tendrán

acceso a esos datos, para minimizar así los riesgos de que haya usuarios con elevados

privilegios que no deberían tener acceso a los datos.

Cumplimento normative

Los clientes son en última instancia responsables de la seguridad e integridad de sus

datos, aunque estos se encuentren fuera de las instalaciones y gestionados por un proveedor

de servicios cloud.

Los prestadores de servicios tradicionales se hallan sujetos a auditorías externas y

certificaciones de seguridad, por lo tanto los proveedores de servicios en la nube también

deben acogerse a este tipo de prácticas. Si se negasen a este tipo de auditorías no se les

debería confiar los datos sensibles de la empresa

Localización de los datos

Al utilizar entornos en la nube no se conoce de forma exacta en qué país están

alojados.

Se debe consultar con los proveedores cuál es el marco regulatorio aplicable al

almacenamiento y procesado de datos, siendo una buena práctica cerrar un acuerdo con el

proveedor para que el tratamiento de los datos se subyugue al marco legal del país del

suscriptor del servicio.

CLOUD COMPUTING
13

Aislamiento de datos

Los datos en los entornos cloud comparten infraestructura con datos de otros clientes.

El proveedor debe garantizar el aislamiento de los datos de los respectivos clientes. El cifrado

de los datos es una buena práctica, pero el problema es cómo aislar los datos cuando se

encuentran en reposo ya que el cifrado, cuando no se hace uso de los datos, puede resultar

una operación costosa.

El prestador del servicio debe garantizar que los datos en reposo estarán

correctamente aislados y que los procedimientos de cifrado de la información se realizarán

por personal experimentado, ya que el cifrado de los datos mal realizado también puede

producir problemas con la disponibilidad de los datos o incluso la pérdida de los mismos.

Recuperación

Los proveedores de servicio deben tener una política de recuperación de datos en caso

de desastre. Asimismo, es muy recomendable que los datos sean replicados en múltiples

infraestructuras para evitar que sean vulnerables a un fallo general.

Se debe exigir a los proveedores los datos sobre la viabilidad de una recuperación completa y

el tiempo que podría tardar.

Soporte investigativo

La investigación de actividades ilegales en entornos cloud puede ser una actividad

casi imposible, porque los datos y logs (registros de actividad) de múltiples clientes pueden

estar juntos e incluso desperdigados por una gran cantidad de equipos y centros de datos.

Lo recomendable será que el proveedor garantice que los logs y los datos de los incidentes se

gestionan de una forma centralizada.

CLOUD COMPUTING
14

Viabilidad a largo plazo

En un entorno ideal un proveedor de servicios cloud siempre permanecerá en el

mercado dando un servicio de calidad y con una disponibilidad completa, pero el mercado es

cambiante y cabe la posibilidad de que el proveedor sea comprado o absorbido por alguno

con mayores recursos.

El cliente debe asegurarse que podrá recuperar sus datos aún en el caso de que el

proveedor sea comprado o absorbido por otro o bien contemplar la posibilidad de que los

datos puedan ser migrados a la nueva infraestructura.

mejo

Seguridad En Cloud Según NIST

Área Recomendación

Gobernanza Implantar políticas y estándares en la

provisión de servicios cloud.
Establecer mecanismos de auditoría y
herramientas para que se sigan las políticas
de la organización durante el ciclo de vida.

Cumplimiento Entender los distintos tipos de leyes y

regulaciones y su impacto potencial en los
entornos cloud.
Revisar y valorar las medidas del proveedor
con respecto a las necesidades de la
organización.

Confianza Incorporar mecanismos en el contrato que

permitan controlar los procesos y controles
de privacidad empleados por el proveedor.

Arquitectura Comprender las tecnologías que sustentan la

infraestructura del proveedor para
comprender las implicaciones de privacidad
y seguridad de los controles técnicos.

Identidad y control de acceso Asegurar las salvaguardas necesarias para

hacer seguras la autenticación, la
autorización y las funciones de control de
acceso.

Aislamiento de software Entender la virtualización y otras técnicas

CLOUD COMPUTING
15

de aislamiento que el proveedor emplee y

valorar los riesgos implicados

Disponibilidad Asegurarse que durante una interrupción

prolongada del servicio, las operaciones
críticas se pueden reanudar inmediatamente
y todo el resto de operaciones, en un tiempo
prudente.

Respuesta a incidentes Entender y negociar los contratos de los

proveedores así como los procedimientos
para la respuesta a incidentes requeridos por
la organización.

Según el Instituto Nacional de Normas y Tecnología, describe recientemente en su

publicación un conjunto de guías en la cual propone refuerzos de seguridad centrándose en

una clasificación que se resume a continuación.

Gobernanza

El cloud, por su diversidad de servicios y su amplia disponibilidad, amplifica la

necesidad de una buena gobernanza.Garantizar que los sistemas son seguros y que los riesgos

están gestionados es un reto en cualquier entorno cloud. Es un requisito de seguridad instalar

adecuadamente los mecanismos y herramientas de auditoría para determinar cómo se

almacenan los datos, cómo se protegen y cómo se utilizan tanto para validar los servicios y

como para verificar el cumplimiento de las políticas.

Cumplimiento

El cumplimiento obliga a la conformidad con especificaciones estándares, normas o leyes

establecidas. La legislación y normativa relativa a privacidad y seguridad varía mucho según

los países con diferencias, en ocasiones, a nivel nacional, regional o local haciendo muy

complicado el cumplimiento en cloud computing.

Ubicación de los datos

Uno de los principales problemas de los servicios en cloud computing es la

ausencia de información acerca de cómo se ha implantado la infraestructura, por lo

CLOUD COMPUTING
16

cual el suscriptor no tiene prácticamente información de cómo y dónde son

almacenados los datos ni de cómo se protegen los mismos.

Por lo general aplican las salvaguardas técnicas, físicas y administrativas,

como los controles de acceso.

Investigación electrónica

La investigación electrónica se ocupa de la identificación, la recolección, el

procesamiento, el análisis y la producción de los documentos en la fase de

descubrimiento de un procedimiento judicial. Las organizaciones también tienen

obligaciones para la preservación y la generación de los documentos, tales como

cumplir con las auditorías y solicitudes de información.

Confianza

En cloud computing la organización cede el control directo de muchos aspectos de la

seguridad confiriendo un nivel de confianza sin precedentes al proveedor de cloud.

Acceso desde dentro

Los datos almacenados fuera de los límites de una organización están

protegidos por cortafuegos y otros controles de seguridad que conllevan en sí mismos

un nivel de riesgo inherente. Las amenazas internas son un problema conocido por la

mayoría de las organizaciones y aunque su nombre no lo refleje aplica también en los

servicios cloud. Estas amenazas pueden ser provocadas tanto por los antiguos como

por los actuales empleados así como por las empresas asociadas, las asistencias

técnicas y otros actores que reciben acceso a las redes corporativas y datos para

facilitar las operaciones.

CLOUD COMPUTING
17

Propiedad de los datos

Cuando se establece un contrato con un proveedor se deben definir de forma

clara los derechos sobre los datos y así crear un primer marco de confianza. Existe

una controversia importante en torno a los términos ambiguos que utilizan las redes

sociales en sus políticas de privacidad y propiedad de los datos.

Servicios complejos

Los servicios cloud en sí mismos suelen estar formados por la colaboración y

unión de otros servicios. El nivel de disponibilidad de un servicio cloud depende de la

disponibilidad de los servicios que lo componen. Aquellos servicios que dependan de

terceros para su funcionamiento deben considerar el establecimiento de un marco de

control con dichos terceros para definir las responsabilidades y las obligaciones, así

como los remedios para los posibles fallos.

Visibilidad

La migración a servicios cloud públicos cede el control de los sistemas de

seguridad a los proveedores que operan los datos de la organización. La

administración, los procedimientos y los controles usados en el cloud deben guardar

cierta analogía con los implantados en la propia organización interna para evitar

posibles agujeros de seguridad. Los proveedores de cloud suelen ser bastante celosos

para dar los detalles de sus políticas de seguridad y privacidad, ya que dicha

información podría ser utilizada para realizar un ataque.

Gestión de riesgos

Con los servicios basados en cloud muchos componentes de los sistemas de

información quedan fuera del control directo de la organización suscriptora. Mucha

gente se siente mejor con un riesgo siempre y cuando tengan mayor control sobre los

procesos y los equipos involucrados. Los sistemas cloud públicos requieren, al igual
CLOUD COMPUTING
18

que los sistemas tradicionales, que los riesgos sean gestionados a lo largo de su ciclo

de vida. Valorar y gestionar riesgos en sistemas que utilizan servicios cloud puede

llegar a ser un desafío.

Arquitectura

La arquitectura de una infraestructura cloud comprende tanto hardware como

software. Las máquinas virtuales se utilizan como unidades de distribución del software

asociadas a dispositivos de almacenamiento. Las aplicaciones son creadas mediante las

interfaces de programación. Suelen englobar a múltiples componentes de la infraestructura

que se comunican entre sí a través de estas interfaces. Esta comunicación global de la

infraestructura puede derivar en fallos de seguridad.

Superficie de ataque

El hipervisor de las máquinas virtuales se superpone como una capa extra de

software entre el sistema operativo y los recursos hardware y se utiliza para ejecutar

las máquinas virtuales multiusuario. La inclusión de estos hipervisores supone añadir

un punto de ataque extra con respecto a las arquitecturas tradicionales.Son ejemplos

de posibles incidentes la revelación de datos sensibles al realizar la migración de

máquinas virtuales o la ejecución de código arbitrario en el equipo anfitrión al

explotar vulnerabilidades en productos de virtualización.

Protección de la red virtual

La mayoría de los productos de virtualización soportan la creación de

conmutadores de red virtuales y configuraciones de red como parte del entorno. Así

mismo, soportan la creación de subredes privadas para la comunicación entre las

maquinas virtuales alojadas en un mismo servidor. Este tráfico no puede ser

monitorizado por los elementos físicos típicos de la red (cortafuegos, sistemas de

prevención de intrusiones, etc.). Por ello, se deben extremar las precauciones de la

CLOUD COMPUTING
19

seguridad de la red en estas conexiones internas para evitar ataques desde dentro de

estas redes virtuales.

Datos auxiliares

Lo más normal es que la seguridad en estos entornos se centre en los datos que

gestiona la aplicación, pero también existen otros datos no considerados tan críticos

cuya alteración, robo o revelación puede producir serios incidentes de seguridad (por

ejemplo: bases de datos de clientes, ficheros de pagos, información de usuarios, etc.).

Protección del cliente

Los navegadores, como parte primordial de los entornos cloud (ya que

típicamente los accesos se realizan vía web), pueden llevar extensiones o plugins con

importantes brechas de seguridad. Mantener la seguridad lógica y física de la parte del

cliente puede ser complicado especialmente para entornos móviles ya que, por su

tamaño y portabilidad, pueden perderse o ser sustraídos.

Protección del servidor

Los servidores en los entornos cloud deben ser protegidos tanto física como

lógicamente, de forma que los mismos estén segmentados y separados para que no se

puedan producir accesos desde zonas no autorizadas. Del mismo modo, en la parte del

cliente hay que asegurar el parcheo de los servidores para que no tengan

vulnerabilidades que comprometan la seguridad del entorno.

Identidad y control de acceso

Los datos sensibles y la privacidad se han convertido en la principal preocupación en

lo que respecta a la protección de las organizaciones y el acceso no autorizado a los recursos

de información.
CLOUD COMPUTING
20

Autenticación

Los mensajes SOAP se firman digitalmente.De esta forma, cuando un usuario

dispone de un certificado de clave pública para un entorno cloud su clave privada

puede ser utilizada para firmar las peticiones SOAP. La validación de una

autenticación mediante mensajes SOAP es complicada y debe tratarse con cuidado

para evitar posibles ataques.

Control de Acceso

El estándar SAML por sí solo no es suficiente para proporcionar tanto

autenticación como controles de acceso en servicios cloud. Se hace necesario

implementar también un control de acceso a los recursos. Para ello se puede utilizar el

estándar XACML (del inglés, eXtensible Access Control Markup Language) para

controlar los accesos a los recursos.

Aislamiento de Software

Para alcanzar tasas altas de eficiencia, los proveedores deben asegurar tanto una

provisión dinámica del servicio como el aislamiento de los suscriptores del servicio. La

concurrencia de usuarios es realizada en entornos cloud mediante la multiplexación de la

ejecución de las máquinas virtuales para los diferentes usuarios en un mismo servidor físico.

Aún así, las aplicaciones que corren en dichos entornos permiten ser focos de ataque. Las

más destacadas son:

Complejidad del hipervisor

La seguridad de un sistema de computación depende de la calidad del software

que se ejecuta en su núcleo, el cual controla la ubicación y ejecución de los procesos.

Normalmente estos hipervisores son menos complejos que un sistema operativo, por

lo que el análisis y la mejora de la seguridad es, en teoría, más sencillo. La realidad es

CLOUD COMPUTING
21

que la evolución de estos hipervisores los ha convertido en elementos mucho más

complejos y amplios, similares a sistemas operativos.

Vectores de ataque

La interfaz de programación de los servicios cloud suele ser objetivo común

para descubrir vulnerabilidades que se pueden explotar. Este tipo de vulnerabilidades

suelen ser desbordamientos de buffer, que permiten al atacante la ejecución de código

arbitrario o fallos que permiten realizar denegaciones de servicio que puedan afectar a

la máquina virtual o al propio servidor anfitrión.

Protección de datos

Los datos que se almacenan en entornos cloud suelen residir en equipamiento

compartido por múltiples clientes. Por ello, las organizaciones que gestionan datos

confidenciales en la nube deben preocuparse por la forma en que se accede a estos datos y

garantizar que los mismos estén almacenados de forma segura.

Aislamiento de datos

Los datos en los entornos cloud pueden tomar muchas formas dependiendo de

la actividad a la que se dediquen, los controles de acceso se basan habitualmente en

comprobar la identidad. Un caso particular son los entornos típicos de bases de datos

de los entornos cloud que se componen de un único sistema gestor de bases de datos

con una instancia por máquina virtual. La seguridad y configuración de estas

instancias recae en la parte suscriptora del servicio.

Saneamiento de datos

En entornos cloud esta labor puede ser muy complicada ya que los datos de

varios clientes comparten almacenamiento por lo cual el saneamiento se debe realizar

con gran cautela.

CLOUD COMPUTING
22

Disponibilidad

La disponibilidad puede ser interrumpida de forma temporal o permanente. Los

ataques de denegación de servicio, fallos del equipamiento y desastres naturales son todas

amenazas a la disponibilidad.

Fallos temporales

A pesar de utilizar infraestructuras orientadas para dar un alto nivel de servicio

y una alta disponibilidad, los servicios cloud pueden experimentar descensos en el

rendimiento o fallos. Algunos ejemplos de esto son: Febrero 2008: fallos de un

servicio de almacenamiento en la nube por un periodo de tres horas que afectó a sus

suscriptores, entre ellos Twitter y otras compañías. Los tiempos de recuperación en

caso de fallo o pérdida de servicio deben estar recogidos por el proveedor en sus

planes de contingencia y continuidad. Así mismo, deben disponer de infraestructuras

de respaldo para poder prestar un servicio mientras se prolonga el periodo de

recuperación. Otra opción es tener un acuerdo para que otro proveedor procese los

datos mientras se realiza la restauración del servicio.

Fallos prolongados y permanentes

Esta posibilidad puede darse en proveedores que experimentan problemas

serios como la bancarrota o la pérdida de sus proveedores. Algunos ejemplos de esto

son: Abril 2009: el FBI realiza una intervención en un proveedor cloud para llevar a

cabo una investigación en un centro de datos en Texas. Los agentes tuvieron que

retirar cientos de servidores para investigar unas acusaciones de fraude de empresas

que operaban en dicho centro. La pérdida de estos servidores supuso una interrupción

del servicio para otros suscriptores de los servicios.

CLOUD COMPUTING
23

Denegación de servicio

La distribución dinámica de recursos en los entornos cloud facilita la labor a

los atacantes, los cuales, utilizando suficientes equipos en los ataques, pueden

producir largos periodos de saturación. Estos ataques también pueden producirse

contra los servicios accesibles de forma interna, como aquellos que gestionan la

infraestructura.

Valor concentrado

Actualmente las infraestructuras en la nube comienzan a ser objetivo de los

ataques porque, en cierto modo, concentran gran cantidad de información sensible, de

forma que, con un único ataque, se podría obtener mayor «rendimiento» que

realizando varios a infraestructuras más pequeñas. Se puede acceder de forma más

refinada a la infraestructura con la ingeniería social, consiguiendo las credenciales de

acceso de los administradores del entorno.

Respuesta a incidentes

Esto incluye la verificación, el análisis del ataque, la contención, la

recolección de evidencias, la aplicación de remedios y la restauración del servicio. La

colaboración entre los proveedores y los suscriptores para la detección y

reconocimiento de los incidentes es esencial para la seguridad y la privacidad en

cloud computing, ya que la complejidad de los servicios puede dificultar la labor de la

detección.